Критична вразливість аутентифікації в Kestra дозволяє віддалене виконання коду

Вразливість CVE-2026-49869 у Kestra дозволяє віддалене виконання коду без аутентифікації. Оновіть Kestra до версій 1.0.45 або 1.3.21.
CVE-2026-49869CVSS 10.0Containers

Критична вразливість аутентифікації в Kestra дозволяє віддалене виконання коду

Вразливість CVE-2026-49869 у Kestra дозволяє віддалене виконання коду без аутентифікації. Оновіть Kestra до версій 1.0.45 або 1.3.21.

CVSS
10.0 CRITICAL
EPSS
48.02%
Активно використовується
немає в KEV
Продукт
kestra

Що відомо

В Kestra до версій 1.0.45 та 1.3.21 у фільтрі аутентифікації використовується некоректна перевірка шляху, що дозволяє обходити аутентифікацію для будь-яких API шляхів, які закінчуються на /configs. Це дає змогу віддаленому зловмиснику без облікових даних створювати та виконувати довільні робочі процеси, що призводить до віддаленого виконання коду з правами root у контейнері Kestra.

Бізнес-вплив

Для операторів ІТ та власників інфраструктури ця вразливість є критичною, оскільки дозволяє неавторизованому користувачу отримати повний контроль над робочим контейнером Kestra. Це може призвести до компрометації систем, витоку даних та порушення цілісності робочих процесів. Вразливість особливо небезпечна через увімкнені за замовчуванням плагіни для виконання скриптів.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Kestra до версій 1.0.45 або 1.3.21, де ця вразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до API, що містять сегмент /configs, переглянути журнали доступу на предмет підозрілої активності та впровадити додаткові заходи контролю доступу. Пріоритетно оцінити ризики та планувати швидке оновлення.

Джерела